2000 
2023-05-14 10:30:01 DDOS攻擊發(fā)展了幾十年,是一個(gè)用爛了的攻擊手段,但卻又是這么好用。不少人會(huì)想要知道DDOS攻擊要成本么?答案是肯定的,DDoS攻擊服務(wù)具體的價(jià)格還是取決于攻擊目標(biāo)、所處位置、持續(xù)時(shí)間與流量來(lái)源等。今天就跟大家介紹下關(guān)于抵御DDoS攻擊的基本措施,高效防護(hù)措施。
DDOS攻擊要成本么?
1、相關(guān)網(wǎng)絡(luò)安全專家估計(jì),利用云僵尸網(wǎng)絡(luò)中的1000臺(tái)計(jì)算機(jī)發(fā)動(dòng)攻擊,其成本基本在每小時(shí)7美元左右。DDoS攻擊服務(wù)的一般價(jià)格為每小時(shí)25美元,意味著額外的部分,即25美元-7美元=18美元即為每小時(shí)的服務(wù)利潤(rùn)。
2、當(dāng)然,價(jià)格本身尚存在巨大的浮動(dòng)空間在,一部分DDoS攻擊以300秒為周期收費(fèi)5美元,而24小時(shí)持續(xù)攻擊則要價(jià)400美元。
4、卡巴斯基方面在發(fā)布的分析報(bào)告中指出:“這意味著利用1000臺(tái)工作站構(gòu)成之僵尸網(wǎng)絡(luò)進(jìn)行攻擊的實(shí)際成本約為每小時(shí)7美元,而調(diào)查發(fā)現(xiàn)這項(xiàng)服務(wù)的平均售價(jià)為每小時(shí)25美元,即網(wǎng)絡(luò)犯罪分子在一小時(shí)的DDoS攻擊過(guò)程中就可獲利18美元。”
5、犯罪分子們能夠在各類地下黑市中輕松付費(fèi)購(gòu)買DDoS攻擊服務(wù)。這些服務(wù)使用簡(jiǎn)單且提供高效的報(bào)告系統(tǒng)。
6、另外,目前大多數(shù)非法服務(wù)供應(yīng)方跟正常企業(yè)一樣在意客戶滿意度,也會(huì)關(guān)注客戶粘性、使用頻率、保留率等等,會(huì)提供簡(jiǎn)單實(shí)用的儀表板,同時(shí)幫助客戶根據(jù)目標(biāo)基礎(chǔ)設(shè)施的可用性水平規(guī)劃具體DDoS攻擊舉措。
DDOS攻擊是什么意思
分布式拒絕服務(wù)(DDoS:Distributed Denial of Service)攻擊指借助于客戶/服務(wù)器技術(shù),將多個(gè)計(jì)算機(jī)聯(lián)合起來(lái)作為攻擊平臺(tái),對(duì)一個(gè)或多個(gè)目標(biāo)發(fā)動(dòng)DDoS攻擊,從而成倍地提高拒絕服務(wù)攻擊的威力。通常,攻擊者使用一個(gè)偷竊帳號(hào)將DDoS主控程序安裝在一個(gè)計(jì)算機(jī)上,在一個(gè)設(shè)定的時(shí)間主控程序?qū)⑴c大量代理程序通訊,代理程序已經(jīng)被安裝在網(wǎng)絡(luò)上的許多計(jì)算機(jī)上。代理程序收到指令時(shí)就發(fā)動(dòng)攻擊。利用客戶/服務(wù)器技術(shù),主控程序能在幾秒鐘內(nèi)激活成百上千次代理程序的運(yùn)行。
DDOS攻擊又稱分布式拒絕服務(wù)攻擊,是互聯(lián)網(wǎng)中最常見(jiàn)的網(wǎng)絡(luò)攻擊手段之一,攻擊者利用“肉雞”對(duì)目標(biāo)網(wǎng)站在較短的時(shí)間內(nèi)發(fā)起大量請(qǐng)求,大規(guī)模消耗目標(biāo)網(wǎng)站的主機(jī)資源,讓它無(wú)法正常服務(wù)。目前網(wǎng)絡(luò)游戲、互聯(lián)網(wǎng)金融、電商、直播等行業(yè)是DDOS攻擊的重災(zāi)區(qū)。DDOS攻擊如此肆無(wú)忌憚,你知道發(fā)起一次DDOS攻擊需要多少費(fèi)用嗎?
卡巴斯基發(fā)布過(guò)一篇有關(guān)DDoS攻擊成本的有趣分析。專家估計(jì),使用1000臺(tái)基于云的僵尸網(wǎng)絡(luò)進(jìn)行DDoS攻擊的成本約為每小時(shí)7美元。而DDoS攻擊服務(wù)通常每小時(shí)25美元,這就意味著攻擊者的預(yù)期利潤(rùn)大約在25美元減去7美元,每小時(shí)約18美元左右。但企業(yè)針對(duì)DDoS攻擊的防御費(fèi)用其總體成本往往高達(dá)數(shù)萬(wàn)甚至數(shù)百萬(wàn)美元。
DDOS攻擊成本由哪些因素決定?
DDoS攻擊服務(wù)具體的價(jià)格還是取決于攻擊目標(biāo)、所處位置、持續(xù)時(shí)間與流量來(lái)源等。比如攻擊中小型企業(yè)肯定要比攻擊大型企業(yè)貴,因?yàn)橹行⌒推髽I(yè)防御能力差甚至沒(méi)有設(shè)置什么安全防護(hù)措施,很容易就被攻破,而大型企業(yè)一般都有專業(yè)安全防護(hù)措施,攻破難度非常大;其次所處位置對(duì)攻擊成本也有影響,不同地區(qū)的帶寬成本、設(shè)備成本、人力成本都有所不同;再有就是持續(xù)時(shí)間了,打趴目標(biāo)十次肯定比打趴目標(biāo)一次要貴的多。
DDOS利用TCP三次握手協(xié)議的漏洞發(fā)起攻擊,目前沒(méi)有什么辦法可以徹底解決,但是可以利用五九盾網(wǎng)絡(luò)高防服務(wù)器或者高防IP高防CDN等產(chǎn)品進(jìn)行防御清洗。以前網(wǎng)絡(luò)攻擊是需要很高IT技術(shù)的,在這十幾年的發(fā)展過(guò)程中,DDOS攻擊越來(lái)越智能化和簡(jiǎn)單化,不懂什么技術(shù)的“腳本小子”都能輕松發(fā)起DDOS攻擊。甚至在境外一些網(wǎng)站的網(wǎng)頁(yè)上,使用者只需輸入目標(biāo)網(wǎng)站的ip地址,選擇攻擊時(shí)間,就可以發(fā)起一次DDOS攻擊。
其次用來(lái)發(fā)起攻擊的“肉雞”越來(lái)越容易獲取,以前“肉雞”只是傳統(tǒng)PC電腦,現(xiàn)在物聯(lián)網(wǎng)智能設(shè)備越來(lái)越多且安全性很差,導(dǎo)致越來(lái)越多的物聯(lián)網(wǎng)智能設(shè)備成為了“肉雞”,被用來(lái)發(fā)動(dòng)DDOS攻擊。“肉雞”越來(lái)越廉價(jià),DDOS攻擊自然也越來(lái)越便宜了。所以對(duì)于一個(gè)企業(yè)來(lái)說(shuō),接入高防服務(wù)是很務(wù)必的。
抵御DDoS攻擊的基本措施
一.網(wǎng)絡(luò)設(shè)備設(shè)施
網(wǎng)絡(luò)架構(gòu)、設(shè)施設(shè)備是整個(gè)系統(tǒng)得以順暢運(yùn)作的硬件基礎(chǔ),用足夠的機(jī)器、容量去承受攻擊,充分利用網(wǎng)絡(luò)設(shè)備保護(hù)網(wǎng)絡(luò)資源是一種較為理想的應(yīng)對(duì)策略,說(shuō)到底攻防也是雙方資源的比拼,在它不斷訪問(wèn)用戶、奪取用戶資源之時(shí),自己的能量也在逐漸耗失。相應(yīng)地,投入資金也不小,但網(wǎng)絡(luò)設(shè)施是一切防御的基礎(chǔ),企業(yè)需要根據(jù)自身情況做出平衡的選擇。
1. 擴(kuò)充帶寬硬抗
網(wǎng)絡(luò)帶寬直接決定了承受攻擊的能力,國(guó)內(nèi)大部分網(wǎng)站帶寬規(guī)模在10M到100M,知名企業(yè)帶寬能超過(guò)1G,超過(guò)100G的基本是專門做帶寬服務(wù)和抗攻擊服務(wù)的網(wǎng)站,數(shù)量屈指可數(shù)。但DDoS卻不同,攻擊者通過(guò)控制一些服務(wù)器、個(gè)人電腦等成為肉雞,如果控制1000臺(tái)機(jī)器,每臺(tái)帶寬為10M,那么攻擊者就有了10G的流量。當(dāng)它們同時(shí)向某個(gè)網(wǎng)站發(fā)動(dòng)攻擊,帶寬瞬間就被占滿了。增加帶寬硬防護(hù)是理論最優(yōu)解,只要帶寬大于攻擊流量就不怕了,但成本也是企業(yè)難以承受之痛,國(guó)內(nèi)非一線城市機(jī)房帶寬價(jià)格大約為100元/M*月,買10G帶寬頂一下就是100萬(wàn),因此許多企業(yè)調(diào)侃拼帶寬就是拼人民幣,以至于很少有企業(yè)愿意花高價(jià)買大帶寬做防御。
2. 使用硬件防火墻
許多企業(yè)會(huì)考慮使用硬件防火墻,針對(duì)DDoS攻擊和黑客入侵而設(shè)計(jì)的專業(yè)級(jí)防火墻通過(guò)對(duì)異常流量的清洗過(guò)濾,可對(duì)抗SYN/ACK攻擊、TCP全連接攻擊、刷腳本攻擊等等流量型DDoS攻擊。如果企業(yè)網(wǎng)站飽受流量攻擊的困擾,可以考慮將網(wǎng)站放到DDoS硬件防火墻機(jī)房。但如果網(wǎng)站流量攻擊超出了硬防的防護(hù)范圍(比如200G的硬防,但攻擊流量有300G),洪水瞞過(guò)高墻同樣抵擋不住。值得注意一下,部分硬件防火墻基于包過(guò)濾型防火墻修改為主,只在網(wǎng)絡(luò)層檢查數(shù)據(jù)包,若是DDoS攻擊上升到應(yīng)用層,防御能力就比較弱了。
3. 選用高性能設(shè)備
除了防火墻,服務(wù)器、路由器、交換機(jī)等網(wǎng)絡(luò)設(shè)備的性能也需要跟上,若是設(shè)備性能成為瓶頸,即使帶寬充足也無(wú)能為力。在有網(wǎng)絡(luò)帶寬保證的前提下,請(qǐng)盡量提升硬件配置。
二、有效的抗D思想及方案
硬碰硬的防御偏于“魯莽”,通過(guò)架構(gòu)布局、整合資源等方式提高網(wǎng)絡(luò)的負(fù)載能力、分?jǐn)偩植窟^(guò)載的流量,通過(guò)接入第三方服務(wù)識(shí)別并攔截惡意流量等等行為就顯得更加“理智”,而且對(duì)抗效果良好。
4. 負(fù)載均衡
普通級(jí)別服務(wù)器處理數(shù)據(jù)的能力最多只能答復(fù)每秒數(shù)十萬(wàn)個(gè)鏈接請(qǐng)求,網(wǎng)絡(luò)處理能力很受限制。負(fù)載均衡建立在現(xiàn)有網(wǎng)絡(luò)結(jié)構(gòu)之上,它提供了一種廉價(jià)有效透明的方法擴(kuò)展網(wǎng)絡(luò)設(shè)備和服務(wù)器的帶寬、增加吞吐量、加強(qiáng)網(wǎng)絡(luò)數(shù)據(jù)處理能力、提高網(wǎng)絡(luò)的靈活性和可用性,對(duì)DDoS流量攻擊和CC攻擊都很見(jiàn)效。CC攻擊使服務(wù)器由于大量的網(wǎng)絡(luò)傳輸而過(guò)載,而通常這些網(wǎng)絡(luò)流量針對(duì)某一個(gè)頁(yè)面或一個(gè)鏈接而產(chǎn)生。在企業(yè)網(wǎng)站加上負(fù)載均衡方案后,鏈接請(qǐng)求被均衡分配到各個(gè)服務(wù)器上,減少單個(gè)服務(wù)器的負(fù)擔(dān),整個(gè)服務(wù)器系統(tǒng)可以處理每秒上千萬(wàn)甚至更多的服務(wù)請(qǐng)求,用戶訪問(wèn)速度也會(huì)加快。
5. CDN流量清洗
CDN是構(gòu)建在網(wǎng)絡(luò)之上的內(nèi)容分發(fā)網(wǎng)絡(luò),依靠部署在各地的邊緣服務(wù)器,通過(guò)中心平臺(tái)的分發(fā)、調(diào)度等功能模塊,使用戶就近獲取所需內(nèi)容,降低網(wǎng)絡(luò)擁塞,提高用戶訪問(wèn)響應(yīng)速度和命中率,因此CDN加速也用到了負(fù)載均衡技術(shù)。相比高防硬件防火墻不可能扛下無(wú)限流量的限制,CDN則更加理智,多節(jié)點(diǎn)分擔(dān)滲透流量,目前大部分的CDN節(jié)點(diǎn)都有200G 的流量防護(hù)功能,再加上硬防的防護(hù),可以說(shuō)能應(yīng)付目絕大多數(shù)的DDoS攻擊了。在CDN加速和流量清洗領(lǐng)域,知道創(chuàng)宇具有豐富的技術(shù)積累和實(shí)戰(zhàn)經(jīng)驗(yàn),旗下的抗D保通過(guò)部署騰訊宙斯盾流量清洗設(shè)備和知道創(chuàng)宇祝融智能攻擊識(shí)別引擎,專注于特大流量DDoS攻擊防御服務(wù),最大防御能力超過(guò)2TB。
6. 分布式集群防御
分布式集群防御的特點(diǎn)是在每個(gè)節(jié)點(diǎn)服務(wù)器配置多個(gè)IP地址,并且每個(gè)節(jié)點(diǎn)能承受不低于10G的DDoS攻擊,如一個(gè)節(jié)點(diǎn)受攻擊無(wú)法提供服務(wù),系統(tǒng)將會(huì)根據(jù)優(yōu)先級(jí)設(shè)置自動(dòng)切換另一個(gè)節(jié)點(diǎn),并將攻擊者的數(shù)據(jù)包全部返回發(fā)送點(diǎn),使攻擊源成為癱瘓狀態(tài),從更為深度的安全防護(hù)角度去影響企業(yè)的安全執(zhí)行決策。
三.預(yù)防為主保安全
DDoS的發(fā)生可能永遠(yuǎn)都無(wú)法預(yù)知,而一來(lái)就兇猛如洪水決堤,因此網(wǎng)站的預(yù)防措施和應(yīng)急預(yù)案就顯得尤為重要。通過(guò)日常慣性的運(yùn)維操作讓系統(tǒng)健壯穩(wěn)固,沒(méi)有漏洞可鉆,降低脆弱服務(wù)被攻陷的可能,將攻擊帶來(lái)的損失降低到最小。
7. 篩查系統(tǒng)漏洞
及早發(fā)現(xiàn)系統(tǒng)存在的攻擊漏洞,及時(shí)安裝系統(tǒng)補(bǔ)丁,對(duì)重要信息(如系統(tǒng)配置信息)建立和完善備份機(jī)制,對(duì)一些特權(quán)賬號(hào)(如管理員賬號(hào))的密碼謹(jǐn)慎設(shè)置,通過(guò)一系列的舉措可以把攻擊者的可乘之機(jī)降低到最小。計(jì)算機(jī)緊急響應(yīng)協(xié)調(diào)中心發(fā)現(xiàn),幾乎每個(gè)受到DDoS攻擊的系統(tǒng)都沒(méi)有及時(shí)打上補(bǔ)丁。統(tǒng)計(jì)分析顯示,許多攻擊者在對(duì)企業(yè)的攻擊中獲得很大成功,并不是因?yàn)楣粽叩墓ぞ吆图夹g(shù)如何高級(jí),而是因?yàn)樗麄兯舻幕A(chǔ)架構(gòu)本身就漏洞百出。
8. 系統(tǒng)資源優(yōu)化
合理優(yōu)化系統(tǒng),避免系統(tǒng)資源的浪費(fèi),盡可能減少計(jì)算機(jī)執(zhí)行少的進(jìn)程,更改工作模式,刪除不必要的中斷讓機(jī)器運(yùn)行更有效,優(yōu)化文件位置使數(shù)據(jù)讀寫(xiě)更快,空出更多的系統(tǒng)資源供用戶支配,以及減少不必要的系統(tǒng)加載項(xiàng)及自啟動(dòng)項(xiàng),提高web服務(wù)器的負(fù)載能力。
9. 過(guò)濾不必要的服務(wù)和端口
就像防賊就要把多余的門窗關(guān)好封住一樣,為了減少攻擊者進(jìn)入和利用已知漏洞的機(jī)會(huì),禁止未用的服務(wù),將開(kāi)放端口的數(shù)量最小化就十分重要。端口過(guò)濾模塊通過(guò)開(kāi)放或關(guān)閉一些端口,允許用戶使用或禁止使用部分服務(wù),對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾,分析端口,判斷是否為允許數(shù)據(jù)通信的端口,然后做相應(yīng)的處理。
10. 限制特定的流量
檢查訪問(wèn)來(lái)源并做適當(dāng)?shù)南拗疲苑乐巩惓!阂獾牧髁縼?lái)襲,限制特定的流量,主動(dòng)保護(hù)網(wǎng)站安全。對(duì)抗DDoS攻擊是一個(gè)涉及很多層面的問(wèn)題,抗D需要的不僅僅是一個(gè)防御方案,一個(gè)設(shè)備,而是一個(gè)能制動(dòng)的團(tuán)隊(duì),一個(gè)有效的機(jī)制。我們都聽(tīng)過(guò)一句話——god helps those who help themselves. 天助自助者,因此面對(duì)攻擊,大家需要具備安全意識(shí),完善自身的安全防護(hù)體系才是正解。
隨著互聯(lián)網(wǎng)業(yè)務(wù)的越發(fā)豐富,可以預(yù)見(jiàn)DDoS攻擊還會(huì)大幅度增長(zhǎng),攻擊手段也會(huì)越來(lái)越復(fù)雜多樣。安全是一項(xiàng)長(zhǎng)期持續(xù)性的工作,需要時(shí)刻保持一種警覺(jué),更需要全社會(huì)的共同努力。
DDOS攻擊要成本的,ddos成本對(duì)于黑客們成本并不高,都是黑客們批量入侵的,很低的價(jià)格就可以讓網(wǎng)站所在的機(jī)房把服務(wù)器封了。所以大家要學(xué)會(huì)抵御DDoS攻擊的基本措施,共同保障自己的網(wǎng)絡(luò)安全。
